Strona sama się uruchamia

Dla specjalistów Bezpieczeństwo
#1

Witam,
Po uruchomieniu systemu Firefox sam się uruchamia z włączoną następującą stroną:

http://gameorplay.info/nextpage.html

Załączam pliki FRST oraz ADDITION:
http://www.wklejto.pl/322288
http://www.wklejto.pl/322289

Proszę o pomoc.

#2

Witam. Nie znam się tak dobrze, ale moim zdaniem masz jakiegoś “syfa” podczepionego pod przeglądarkę.
Pobierz sobie AdwCleaner, przeskanuj i zrestartuj komputer.
Link : https://pl.malwarebytes.com/adwcleaner/
pozdrawiam.

#3

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2056369101-1838749867-2302508315-1001\...\Run: [Marcin] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA
HKU\S-1-5-21-2056369101-1838749867-2302508315-1001\...\Policies\Explorer: [] 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2056369101-1838749867-2302508315-1001 -> DefaultScope {46F21175-8480-4DBE-BF1F-D45146482741} URL = 
SearchScopes: HKU\S-1-5-21-2056369101-1838749867-2302508315-1001 -> {46F21175-8480-4DBE-BF1F-D45146482741} URL = 
2018-01-13 11:34 - 2018-01-13 11:34 - 000000000 ____D C:\ProgramData\SWCUTemp
ContextMenuHandlers1: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> Brak pliku
ContextMenuHandlers2: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
ContextMenuHandlers6: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> Brak pliku
Task: {59EBB202-C6F8-4D7F-9CE4-B4931647861A} - System32\Tasks\Marcin => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Marcin /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA
Task: {6D760E26-081A-40CE-90D2-AD760E475664} - System32\Tasks\{9DFDA07B-3F97-4C2D-91A4-E3800611C347} => "c:\program files\mozilla firefox\firefox.exe" hxxps://ui.skype.com/ui/0/7.40.0.103/pl/go/help.faq.installer?LastError=1603
Task: {A56C2F2B-8009-4C28-9DA7-EA680A20F656} - System32\Tasks\{AF0414CA-454D-4BC8-94BE-CFD291A07C12} => "c:\program files\mozilla firefox\firefox.exe" hxxps://ui.skype.com/ui/0/7.40.0.103/pl/go/help.faq.installer?LastError=1603
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

#4

Niestety nie pomógł ani twój sposób Atis, ani AdwCleaner. Załączam odpowiednie pliki:

AdwCleaner[C0] http://www.wklejto.pl/322308
Fixlog http://www.wklejto.pl/322309
FRST http://www.wklejto.pl/322310
Shortcut http://www.wklejto.pl/322311

EDIT: Znalazłem w rejestrze
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
klucz Marcin, który posiada następujące dane
explorer.exe http://ozirizsoos.info

Czy rozwiązaniem będzie po prostu usunięcie tego linku?

#5

Firefox bardzo dobrze blokuje wyskakujące strony z grami. Pierwsze, to ustawienia w opcjach - w zakładce Treść zaznaczyć blokowanie wyskakujących okien i trzeba kliknąć w Wyjątki, pousuwać stamtąd wszystkie.
Co tam robi avast, skoro nie blokuje takich fake stron? Odinstalować!
W systemie wystarczy defender. W przeglądarce rozszerzenie Disconnect.
Dodaj rozszerzenie strict pop-up blocker. Gdy klikniesz w kwadracik na pasku, to nie ma prawa wyskoczyć jakiekolwiek okno/karta z fske stroną.
W ublock originie w panelu trzeba kliknąć w Wyjątki. Stamtąd też trzeba pousuwać wyjątki.
W folderze profilu Firefoxa otwórz w notatniku plik SiteSecurityServiceState.txt i tam usuń wszystko, potem w menu plik daj na zapisz i zamknij. Tym sposobem usuniesz superciasteczka nawet tych złych stron, bo one działają na specjalnych uprawnieniach i włażą do folderów ustawień.

#6

fixlist.txt (23,2 KB)
Wiesz co z nim zrobić.

#7

To jest winowajca:
Miało być HKU\S-1-5-21-2056369101-1838749867-2302508315-1001…\Run: [Marcin] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA
a było HKU\S…\Run: [Marcin] => explorer.exe hxxp:

#8

Dziękuję wszystkim za pomoc, problem został rozwiązany.